ニュース
» 2016年03月10日 07時00分 公開

日本型セキュリティの現実と理想:第18回 機動戦士ガンダムの量産型モビルスーツから学ぶセキュリティ戦略 (3/3)

[武田一城,ITmedia]
前のページへ 1|2|3       

セキュリティ対策はユーザーこそが主役

 再び話をセキュリティに戻す。セキュリティ対策では、モビルスーツがPCやスマートフォンなどの操作端末にあたる。情報活用のためのツールは、ビームサーベルやライフルなどの武器となり、アンチウイルスやファイアウォールなどに代表されるセキュリティ対策製品は装甲や盾のような防御装備となる。そして、パイロットはユーザーだ。つまり、セキュリティ対策の主役だと思われがちなセキュリティ担当者や情報システム担当者は、あくまで防御装備の定められた性能を出す整備士に過ぎない。

 パイロットたるユーザーは、モビルスーツを駆って宇宙で戦う代わりに、PCやスマートフォンなどを駆ってサイバー空間で戦っているという構図に置き換わる。現実のセキュリティ対策においては、アムロや赤い彗星のシャアのような物語の主人公は、ユーザーである。

 営業や総務、経理などの仕事をされているITの世界でのユーザーとしては、「サイバー攻撃やセキュリティなんて難しいことは分からない」というのが本音だろう。「専門家やセキュリティ担当者に任せておけば良い」という意見もしばしば聞かれるが、現在のIT環境を考えると、致し方ないことなのかもしれない。

 しかし、前述のようにシステム担当者やセキュリティ担当者は、あくまでも整備員の役割に過ぎない。高い技術を持つセキュリティ技術者とは、(いきなりシリーズは飛ぶが)まるでZ(ゼータ)ガンダムの胴体にザクの頭部を付けて簡単に動作させることができるアストナージのような凄腕の整備士のようなものだろう。それはそれでもちろん頼もしいが、性能や稼働率が上がることで戦闘には有利になるが、それ自体で勝利することはできない。

「君は生き延びることができるか?」

 これまでの論理展開は、あくまでもアニメ世界をもとにしている。どこまで行っても例え話や言葉遊びに過ぎないが、筆者としては現在の私たちが少年の頃に見た(人によると現在も見続けている)ガンダムに例えることで、少しでも多くの人に「セキュリティ対策の主人公は自分自身」と考えていただきたいと思っている。そう考える人が増えれば、日本の貴重な情報を守ることにつながると思っている。

 サイバー攻撃は目に見えないので気づきにくく、対策しにくい。攻撃されていることすら認識しにくいし、攻撃側が圧倒的に有利だ。攻撃者はほんの少しのコストで攻撃を成功させ、目的を達成できる。防御側は人海戦術で可能な限りの対応をしてきたが、セキュリティ人材の不足などもっと不利になっている。限られたリソースしか使えない防御側は、地球連邦軍の量産型モビルスーツ開発のように、「選択と集中」による効率的なリソースの配置が必要だ。

 その戦略的な配置についての方法は、大別すると次の2つだ。1つは「既知の脅威への対策を定型化・自動化」することで対応リソースを減らすこと。もう1つは、残る「未知の脅威への対策」だ。もちろん未知の脅威の対策は非常に難しいが、ネットワーク、エンドポイント、クラウド、アナリティクスなどのさまざまなセキュリティ技術を結びつけることで被害抑止の仕組みにすることだ。

 後者の未知の脅威への対策は、残念ながら一般企業には非常にハードルが高いと言わざるを得ない。だから、地球連邦軍がジム1機に全てのリソースを集中したことに習い、まずは前者の既知の脅威への対策の定型化・自動化が戦略的に有効だろう。要はWindowsのアップデート、AdobeやJavaのセキュリティパッチをできるだけ早く適用するようなことだ。これらに加えて、アンチウイルスソフトのフルスキャンを定期的に実行するといった、当たり前の行動を習慣化し、それを徹底するだけでいい。セキュリティ担当者はそれらをより効率的な仕組みにすることで、セキュリティ対策の定型化や自動化を一定レベルに引き上げる。これらを実現するのは、それほど難しいことではないだろう。

 「君は、生き延びることができるか?」というのは、ガンダムの次回予告における最後の言葉(ナレーション)だが、企業なら世界で戦うための重要な情報を漏えいさせることなく、このような日々の努力を続けていけば、生き延びるどころか大きな成功や勝利につながるかもしれない。

※「機動戦士ガンダム」の次回予告。

※「機動戦士ガンダム」は株式会社サンライズ制作のアニメーションです。


武田一城(たけだ かずしろ) 株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ